คำชี้แจง (18 พฤษภาคม 2559)

security banner

จากที่มีการโพสท์ข้อความเตือนภัยผ่านสื่อออนไลน์เกี่ยวกับกรณีการแฮกและการรั่วไหลของข้อมูลบัตรเครดิตเป็นจำนวนมากในช่วงสัปดาห์ที่ผ่านมา ซึ่งก่อให้เกิดความสับสนต่อผู้ใช้บริการระบบรับชำระเงิน Omise ส่งผลกระทบต่อชื่อเสียงและภาพลักษณ์ของบริษัทฯ ทางเราจึงขอชี้แจงถึงข้อเท็จจริงเกี่ยวกับประเด็นดังกล่าวดังนี้

บริษัท Omise มิได้เป็นผู้ให้บริการระบบรับชำระเงินออนไลน์แก่เว็บไซต์ดังกล่าวหรือมีส่วนเกี่ยวข้องใดๆ กับเหตุการณ์ที่เกิดขึ้น จึงขอให้ผู้ใช้บริการและผู้ถือบัตรมั่นใจว่าข้อมูลส่วนบุคคลของท่านปลอดภัย ไม่มีการรั่วไหลสู่บุคคลที่สามอย่างแน่นอน ทั้งนี้ทางบริษัทฯ ขอชี้แจงถึงนโยบายด้านความปลอดภัยของระบบรับชำระเงิน ณ ที่นี้ เพื่อความถูกต้องของข้อมูล

บริษัท Omise เป็นผู้ให้บริการระบบรับชำระเงินออนไลน์ที่ได้รับรองมาตรฐานความปลอดภัย PCI-DSS 3.1 ซึ่งเป็นมาตรฐานในการรับ-ส่งข้อมูลบัตร เก็บรักษา และ ประมวลผล ให้เป็นไปตามนโยบายด้านสารสนเทศและความปลอดภัยที่กำหนดขึ้นโดยตรงจากค่ายบัตรเครดิตชั้นนำของโลก

สามารถตรวจสอบใบรับรองมาตรฐานความปลอดภัย PCI DSS ได้ที่นี่ หรือที่เว็บไซต์ Visa’s Global Registry of Service Providers.

ข้อมูลบัตรรั่วไหลเกิดขึ้นได้อย่างไร?

การส่งข้อมูลบัตรเครดิตไปยัง server ที่ไม่ผ่านมาตรฐาน จะส่งผลให้เกิดการรั่วไหลของข้อมูลได้ ตัวอย่างเช่น ข้อมูลบัตรอาจติดไปกับไฟล์บันทึกการรับส่งข้อมูลทั่วไปของ server ซึ่งเป็นเป้าให้ Hacker โจมตีได้

ปัญหาดังกล่าวจะไม่เกิดขึ้นกับร้านค้าที่ใช้บริการระบบรับชำระเงินของ Omise เนื่องจากข้อมูลบัตรจะถูกส่งจากเบราว์เซอร์ของผู้ถือบัตรมายังเซิร์ฟเวอร์ของ Omise โดยตรงผ่านโปรโตคอล HTTPS (TLS) ทำให้ไม่มีข้อมูลบัตรส่งผ่านไปยังร้านค้า ความเสี่ยงที่จะเกิดการโจรกรรมข้อมูลแบบ man-in-the-middle attack จึงแทบเป็นไปไม่ได้เลย

นอกจากนี้ร้านค้ายังสามารถสร้างระบบที่มีความปลอดภัยสูงได้โดยง่ายเพราะ Omise มี library สำหรับการพัฒนาไว้ให้ ร้านค้าสามารถนำไปใช้บนเว็บไซต์ได้ทันที เช่น Omise.js สำหรับส่งข้อมูล Card.js สำหรับสร้างฟอร์มรับข้อมูลบัตร

มั่นใจได้ว่าการสื่อสารและรับ-ส่งข้อมูลจะถูกเข้ารหัสเสมอและยังเกิดขึ้นภายใต้ network ที่มีการตรวจสอบและรักษาความปลอดภัยเป็นอย่างดีโดยผู้ดูแลระบบอีกด้วย

SSL labs report

เพื่อความปลอดภัยสูงสุดในการใช้-จ่ายออนไลน์ Omise มีระบบป้องกันการทุจริตที่คอยตรวจสอบ วิเคราะห์ และยับยั้งการทำรายการใดๆ ที่น่าสงสัย การกระทำพิรุธ หรือส่อเจตนาทุจริต เพื่อยับยั้งและลดความเสียหายที่อาจเกิดขึ้นได้อย่างทันท่วงที บัตรทุกใบที่นำมาใช้กับระบบรับชำระเงินของเราจะผ่านกระบวนการตรวจสอบ fraud detection ประกอบด้วย pre-authorization, tokenization, IP geolocation และ behaviour analysis

3-D Secure เป็นอีกหนึ่งบริการที่ช่วยเพิ่มความคุ้มครองแก่ร้านค้าจากรายการทุจริต (fraud) โดยการยืนยันตัวตนผ่านรหัส OTP หรือ SMS Token ที่ได้รับจากธนาคาร เนื่องจากบริการนี้ไม่ได้เป็นประโยชน์ต่อร้านค้าผู้ใช้บริการทุกราย เราจึงแนะนำให้ร้านค้าที่จำหน่ายสินค้าหรือให้บริการบางประเภทเปิดใช้บริการเท่านั้น ตัวอย่างเช่น ธุรกิจที่ให้บริการเติมเงินโทรศัพท์มือถือ จำหน่ายเหรียญเกม เงินดิจิทัล บัตรเติมเงินชนิดต่างๆ หรือธุรกิจที่พบปัญหาการทุจริต ฉ้อโกง หรือมีลูกค้าปฏิเสธการชำระเงินบ่อยครั้ง ทั้งนี้ร้านค้าทุกร้านสามารถแจ้งความประสงค์เพื่อขอเปิดใช้บริการ 3-D Secure ได้ในขั้นตอนการสมัครใช้บริการ Omise

หากท่านมีข้อสงสัยหรือคำถามใดๆ เกี่ยวกับความปลอดภัยของระบบรับชำระเงินของเรา สามารถติดต่อทีมงานของเราได้เสมอผ่านอีเมล์ support@omise.co